我有一个简单的问题:我是否需要担心OpenCart表单中潜在的表单注入问题,或者它都由开发人员负责?我需要清理,剥离和修剪所有的表单输入字段吗?
例如,如果我修改OC的现有联系表单(information/contact):
$name = filter_var($this->request->post['name'], FILTER_SANITIZE_STRING);
$email = strtolower(preg_replace( '((?:'n|'r|'t|%0A|%0D|%08|%09)+)i' , '', $this->request->post['email']));
opencart开发人员通过对用户数据进行适当的转义来保护opencart中的所有默认表单免受SQL注入。但是如果您正在创建您自己的表单(或字段),那么您需要使用
自己转义它。$this->db->escape($user_data);
无论你使用的是什么数据库(mysql, postgres等)
他们已经尽了他们的责任,现在你也该尽你的责任了。
注:您可以看到catalog'model'account'customer.php的例子